跟着动网论坛的广泛应用和动网上传缝隙的被发明以及SQL注入式打击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB处事器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄大白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO! 

要打造一台安适的WEB处事器，那么这台处事器就必然要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个撑持多用户、多任务的操纵系统，这是权限设置的根本，一切权限设置都是基于用户和进程而言的，差此外用户在访谒这台计算机时，将会有差此外权限。DOS是个单任务、单用户的操纵系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操纵系统的计算机的时候，我们就拥有了这个操纵系统的打点员权限，而且，这个权限无处不在。所以，我们只能说DOS不撑持权限的设置，不能说它没有权限。跟着人们安适意识的提高，权限设置跟着NTFS的颁布诞生了。 

Windows NT里，用户被分成许多组，组和组之间都有差此外权限，固然，一个组的用户和用户之间也可以有差此外权限。下面我们来谈谈NT中常见的用户组。 

Administrators,打点员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访谒权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。 
Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保存的任务外的其他任何操纵系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员改削整个计算机的设置。但Power Users 不具有将本身添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。 

Users:普通用户组，这个组的用户无法进行有意或无意的窜改。因此，用户可以运行颠末验证的应用措施，但不成以运行大大都旧版应用措施。Users 组是最安适的组，因为分配给该组的默认权限不允许成员改削操纵系统的设置或用户资料。Users 组供给了一个最安适的措施运行环境。在颠末 NTFS 格局化的卷上，默认安适设置旨在禁止该组的成员危及操纵系统和已安置措施的完整性。用户不能改削系统注册表设置、操纵系统文件或措施文件。Users 可以封锁事情站，但不能封锁处事器。Users 可以创建本地组，但只能改削本身创建的本地组。 

Guests:宾客组，按默认值，宾客跟普通Users的成员有同等访谒权，但宾客帐户的限制更多。 

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。 

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的插手，在调查用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的处事正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。 

权限是有凹凸之分的，有高权限的用户可以对低权限的用户进行操纵，但除了Administrators之外，其他组的用户不能访谒 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操纵。 

我们泛泛使用计算机的过程傍边不会觉得到有权限在阻挠你去做某件工作，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利固然是你能去做你想做的任何一件工作而不会遇到权限的限制。弊就是以 Administrators 构成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安适危害的威胁。访谒 Internet 站点或打开电子邮件附件的简单步履都可能粉碎系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的打点员身份登录，特洛伊木马可能使用打点访谒权从头格局化您的硬盘，造成不成估计的损掉，所以在没有须要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安置时就创建的默认用户----Administrator，Administrator 帐户具有对处事器的完全控制权限，并可以按照需要向用户指派用户权利和访谒控制权限。因此强烈建议将此帐户设置为使用强暗码。永远也不成以从 Administrators 组删除 Administrator 帐户，但可以重定名或禁用该帐户。由于大家都知道“打点员”存在于许多版本的 Windows 上，所以重定名或禁用此帐户将使恶意用户测验考试并访谒该帐户变得更为困难。对付一个好的处事器打点员来说，他们凡是城市重定名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有出格须要，无须启用此账户。我们可以通过“控制面板”--“打点工具”--“计算机打点”--“用户和用户组”来检察用户组及该组下的用户。